จากช่องโหว่ที่มีในทุก CPU ในตลาดตอนนี้ ทางแก้ที่ง่ายและรวดเร็วที่สุดก็คือปิดหรือแก้ทำให้ถูกโจมตียากขึ้นในด้านซอฟท์แวร์และระบบปฏิบัติการ ทางทีม Mozilla Security ได้ทดสอบบั๊กนี้เป็นการภายใน แล้วพบว่ามีแนวโน้มที่จะถูกโจมตีได้
โดยช่องโหว่า Spectre สามารถใช้ timing-attack ได้ Mozilla เลยต้องการปัญหาอย่างเร่งด่วนด้วยการแก้ API ที่มีส่วนเกี่ยวข้องกับ high-resolution timer
-
เพิ่มเวลาของ performance.now() จาก 5μs ไปเป็น 20μs
-
ปิดการใช้งาน SharedArrayBuffer
ตอนนี้ Firefox 57 ขยับเลขรุ่นเป็น 57.0.4 แล้วจากแพทช์นี้ โดย Web API พวกนี้อาจถูกแก้กลับคืนค่าเดิม/เปิดการใช้งานเหมือนเดิม แต่คงต้องรอให้ศึกษาตัวบั๊กอย่างถ่องแท้ก่อนว่าบั๊กนี้มันทำงานอย่างไร ซึ่งก็คงต้องใช้เวลาอีกสักพักใหญ่เลย
ที่มา – Mozilla Security Blog: Mitigations landing for new class of timing attack
No responses yet
Post a comment